URGENT: CYBER SECURITY/ VERWACHTINGEN

 

   


 | LVDK/ MCM 20007 | 19-01-2020 |

 

Geacht college,

 

Naar aanleiding van uw persbericht en de vorige mails (mail één en mail twee) van de BSD stellen wij nog een aantal vervolg vragen:

  1. In uw persbericht: ,, Vanaf afgelopen december zijn er diverse maatregelen genomen om aanvallen van ‘buiten’ te voorkomen ”. Op welke maatregelen doelt u?

  2. In uw persbericht: ,, De verwachting is dat er maandag in de loop van de ochtend wel weer kan worden ingelogd. ”. Kunt u tot in detail omschrijven hoe u tot deze conclusie komt?

  3. Bent u zich bewust dat een eventuele patch voor dit kritieke lek uitgebreid getest dient te worden en nog niet klaar is, of zijn onderhavige systemen gemitigeerd? Zo ja, zijn deze dan getest en door wie, hoe en wanneer?

  4. Bent u niet van mening dat het terug in gebruik nemen misschien wel beter gecoördineerd kan worden met het Nationaal Cyber Security Centrum van de Rijksoverheid? Bent u bereid dit te overwegen en zo niet, kunt u tot in detail motiveren waarom u denkt dat de overweging van terug in gebruik name goed te kunnen overzien?

  5. Zijn de basale maatregelen om te kunnen overwegen het systeem weer in gebruik te gaan nemen genomen? Denk aan: aanpassing standaard poorten, clientcertificaten, webapplicatiefirewall en white- en eventueel black-listing, eventueel via de gecontracteerde internet provider van de gemeente.

  6. Beseft u zich dat de punten bij vijf geen zekerheid geven op veiligheid daar de leverancier eigenlijk met de handen in het haar zit nu en de gevolgen van het lek eigenlijk niet te overzien zijn? Bent u zich bewust van het feit dat de leverancier niet eenduidig is in de communicatie en dat hoogstwaarschijnlijk de Rijksoverheid het voorzorgprincipe heeft toegepast en de waarschuwing en later ook het advies heeft uitgerold. (Vandaar ons verzoek om punt 4 goed te overwegen of op zijn minst eerst in overleg te treden om hun kennis te onderzoeken).

  7. Is het niet veiliger om alle medewerkers gewoon op het kantoor te laten inloggen en voor de noodzakelijke inloggers een alternatieve login op te zetten en de Netscaler uit te laten tot nader order?

Uiteraard zijn wij niet op detail op de hoogte van alle gebeurtenissen achter de schermen. Wij zijn ons er van bewust dat sommige vragen (wel noodzakelijk) op aannames zijn gesteld.


Wij verzoeken u dringend om alle fracties uitgebreid te motiveren waarom het college denkt dat het systeem maandag weer veilig in gebruik genomen kan worden en wie de verantwoordelijkheid voor deze beslissing gaat dragen. Wij verzoeken dit ook zo te doen naar de inwoners van de Gemeente, het zijn tenslotte ‘hun gegevens’ die in de waagschaal liggen.

 

Uw reactie/ handelen afwachtend,

met vriendelijke groet,

namens de BSD-fractie,

 

Louis van der Kallen,
Marcel Mulder.